O documento discute a natureza jurídica dos dados pessoais como ativo empresarial e as responsabilidades pelo vazamento desses dados. Apresenta as leis que regulamentam a coleta e uso de dados pessoais e definem-nos como propriedade do usuário. Também aborda a composição do estabelecimento empresarial, o valor que os dados agregam ao negócio e as obrigações de sigilo e indenizações aplicáveis em casos de vazamento.
Dados pessoais de clientes como ativo da empresa e responsabilidade pelo vazamento
1. Dados pessoais de clientes como ativo da empresa e
responsabilidade pelo vazamento
Paulo Brancher
Barretto Ferreira e Brancher Sociedade de Advogados
(BKBG)
3. www.congressodireitocomercial.org.br
Dados Pessoais como Ativo da Empresa
• Natureza jurídica:
– Lei 9.610/98 (Lei de Direitos Autorais)
• Art. 7º São obras intelectuais protegidas as criações do espírito, expressas
por qualquer meio ou fixadas em qualquer suporte, tangível ou intangível,
conhecido ou que se invente no futuro, tais como:
XIII - as coletâneas ou compilações, antologias, enciclopédias, dicionários,
bases de dados e outras obras, que, por sua seleção, organização ou
disposição de seu conteúdo, constituam uma criação intelectual.
§ 2º A proteção concedida no inciso XIII não abarca os dados ou materiais
em si mesmos e se entende sem prejuízo de quaisquer direitos autorais que
subsistam a respeito dos dados ou materiais contidos nas obras.
4. www.congressodireitocomercial.org.br
Dados Pessoais como Ativo da Empresa
• Natureza jurídica:
– Lei 12.965/14 (Marco Civil da Internet)
• Art. 7o O acesso à internet é essencial ao exercício da cidadania, e ao
usuário são assegurados os seguintes direitos:
VII - não fornecimento a terceiros de seus dados pessoais, inclusive
registros de conexão, e de acesso a aplicações de internet, salvo mediante
consentimento livre, expresso e informado ou nas hipóteses previstas em
lei;
5. www.congressodireitocomercial.org.br
Dados Pessoais como Ativo da Empresa
• Natureza jurídica:
– Lei 12.965/14 (Marco Civil da Internet)
• Art. 7o O acesso à internet é essencial ao exercício da cidadania, e ao
usuário são assegurados os seguintes direitos:
VIII - informações claras e completas sobre coleta, uso, armazenamento,
tratamento e proteção de seus dados pessoais, que somente poderão ser
utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em
termos de uso de aplicações de internet;
6. www.congressodireitocomercial.org.br
Dados Pessoais como Ativo da Empresa
• Natureza jurídica:
– Lei 12.965/14 (Marco Civil da Internet)
• Art. 7o O acesso à internet é essencial ao exercício da cidadania, e ao
usuário são assegurados os seguintes direitos:
IX - consentimento expresso sobre coleta, uso, armazenamento e
tratamento de dados pessoais, que deverá ocorrer de forma destacada das
demais cláusulas contratuais.
7. www.congressodireitocomercial.org.br
Dados Pessoais como Ativo da Empresa
• Natureza jurídica:
– Dados pessoais vs. Base de dados
– Construção de uma base de dados ocorre a partir de diversas
informações que podem envolver:
• Direitos da personalidade
• Dados da própria empresa
• Dados de domínio público
• Obtenção por meio de cadastro próprio (termo de adesão)
• Adquirido de terceiros
• Tratamento por meio de sistemas tecnológicos
8. www.congressodireitocomercial.org.br
Dados Pessoais como Ativo da Empresa
• Composição do estabelecimento empresarial:
– Código Civil
• Art. 1.142. Considera-se estabelecimento todo complexo de bens
organizado, para exercício da empresa, por empresário, ou por sociedade
empresária.
– Não existe atividade empresarial sem uma base de dados
qualquer
– Pode ser passiva (registrária/contábil) ou ativa (marketing)
9. www.congressodireitocomercial.org.br
Dados Pessoais como Ativo da Empresa
• Composição do estabelecimento empresarial:
– Código Civil
• Art. 1.143. Pode o estabelecimento ser objeto unitário de direitos e de
negócios jurídicos, translativos ou constitutivos, que sejam compatíveis com
a sua natureza.
– Estabelecimento pode ser objeto de transação, compreendendo
individual ou coletivamente os bens que o constituem.
– Base de dados é própria, mas dados pessoais não.
• Institutos tradicionais do direito (propriedade) vs. nova realidade econômica
10. www.congressodireitocomercial.org.br
Dados Pessoais como Ativo da Empresa
• Valor do ativo:
– Compõe o fundo empresarial
• Bem intangível
– Valor depende de uma série de fatores:
• Origem da base de dados
• Confiabilidade
• Tratamento da informação
• Geração de receita
• Níveis de proteção contra ataques
11. www.congressodireitocomercial.org.br
Dados Pessoais como Ativo da Empresa
• Valor do ativo:
– Due diligence
• Documentação existente
• Avaliação técnica
– Transação envolvendo a Empresa ou a Base de Dados
• Contrato deve conter declarações e garantias envolvendo:
• Origem lícita das informações
• Consistência da base de dados
• Observância a direitos de terceiros
• Níveis de proteção
12. www.congressodireitocomercial.org.br
Dados Pessoais como Ativo da Empresa
• Proteção do ativo:
– Certificações de segurança
• É impossível garantir que um sistema não possa ser invadido/atacado
• Quanto maior for o investimento na proteção:
• Menor o risco de invasões
• Maior valoração do ativo
• Melhor a justificativa de atenuantes em caso de vazamento
– Políticas internas de acesso e uso da base de dados
– Seguro de responsabilidade civil por vazamento de informações
14. www.congressodireitocomercial.org.br
Responsabilidade pelo Vazamento
• Obrigações de Sigilo:
– Constituição Federal, art. 5º
• XII - é inviolável o sigilo da correspondência e das comunicações
telegráficas, de dados e das comunicações telefônicas, salvo, no último
caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer
para fins de investigação criminal ou instrução processual penal;
– Lei 12.965/14 (Marco Civil da Internet)
• Art. 11. Em qualquer operação de coleta, armazenamento, guarda e
tratamento de registros, de dados pessoais ou de comunicações por
provedores de conexão e de aplicações de internet em que pelo menos um
desses atos ocorra em território nacional, deverão ser obrigatoriamente
respeitados a legislação brasileira e os direitos à privacidade, à proteção
dos dados pessoais e ao sigilo das comunicações privadas e dos registros.
15. www.congressodireitocomercial.org.br
Responsabilidade pelo Vazamento
• Responsabilidade civil:
– Código Civil
• Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou
imprudência, violar direito e causar dano a outrem, ainda que
exclusivamente moral, comete ato ilícito.
– Questões relacionadas à proteção do ativo
– Verificação da negligência
• Art. 927. Aquele que, por ato ilícito, causar dano a outrem, fica obrigado a
repará-lo.
• Art. 944. A indenização mede-se pela extensão do dano.
Parágrafo único. Se houver excessiva desproporção entre a gravidade da
culpa e o dano, poderá o juiz reduzir, equitativamente, a indenização.
16. www.congressodireitocomercial.org.br
Responsabilidade pelo Vazamento
• Responsabilidade civil:
– MPF apura vazamento de dados do INSS para uso de bancos e
financeiras
• Trabalhadores dão entrada na aposentadoria e já recebem ofertas de
empréstimo consignado antes mesmo de ter resposta oficial do INSS (Portal
G1 – 22/02/2016).
– Oi recebe multa de R$ 3,5 milhões por violar privacidade de
clientes
• De acordo com o DPDC, a Oi firmou parceria com a empresa britânica
Phorm para desenvolver um software chamado “Navegador”, que mapeava
os dados do consumidor na internet. Em posse desses dados, a empresa
comercializava os perfis de navegação de seus usuários com anunciantes e
agências de publicidade (Valor Econômico – 23/07/2014).
17. www.congressodireitocomercial.org.br
Responsabilidade pelo Vazamento
• Concorrência desleal:
– Lei 9.279/96 (Lei da Propriedade Industrial)
• Art. 195. Comete crime de concorrência desleal quem:
XI - divulga, explora ou utiliza-se, sem autorização, de conhecimentos,
informações ou dados confidenciais, utilizáveis na indústria, comércio ou
prestação de serviços, excluídos aqueles que sejam de conhecimento
público ou que sejam evidentes para um técnico no assunto, a que teve
acesso mediante relação contratual ou empregatícia, mesmo após o término
do contrato;
XII - divulga, explora ou utiliza-se, sem autorização, de conhecimentos ou
informações a que se refere o inciso anterior, obtidos por meios ilícitos ou a
que teve acesso mediante fraude;
18. www.congressodireitocomercial.org.br
Responsabilidade pelo Vazamento
• Abuso de poder econômico:
– CADE condena Oi por prática anticompetitiva na telefonia fixa
• O CADE condenou a Oi a pagar multa de R$ 26 milhões por prática
anticompetitiva na prestação de serviços de telefonia fixa em prejuízo da
concorrente Vesper, nos anos de 2002 a 2004, em 16 Estados.
• A Telemar realizava, inicialmente, uma categorização dos clientes com a
indicação dos “prováveis desertores”. Também observava o tempo de
ligações dos clientes para o sistema de atendimento dos concorrentes, o
que permitia classificar o usuário como “curioso”, “interessado” ou “muito
interessado” pelo plano de serviço de outras empresas.
• Em seguida, analisava o valor médio da fatura e o histórico de
inadimplência dos próprios clientes. Com essas informações em mãos, criou
uma lista de classificação dos clientes com o status de diamante, ouro,
prata e bronze para oferecer planos de serviços mais vantajosos (Valor
Econômico – 11/03/15).
19. www.congressodireitocomercial.org.br
Responsabilidade pelo Vazamento
• Abuso de poder econômico:
– CADE condena Oi por prática anticompetitiva na telefonia fixa
• Multa de R$ 11 milhões aplicada pela ANATEL
• Multa de R$ 26 milihões aplicada pelo CADE
• Prática de concorrência desleal (dever de indenizar)